När styrningen är utformad ska organisationen tillämpa den. Detta beskrivs i detta avsnitt som består av:
- Riskanalys
- Klassning av information
- Genomföra och efterleva
- Utbilda och kommunicera
Aktiviteter som ingår i Handlingsplan ska genomföras och Styrdokument ska efterlevas enligt utpekat ansvar i respektive dokument. Oförutsedda händelser och förändringar behöver hanteras. Stöd för detta ges i "Genomföra och efterleva" med fokus på CISO:s roll som kan vara utförande, deltagande, stödjande och bevakande eller responderande.
Att dokumentera hur arbetet fortlöper gällande "Genomföra och efterleva", "Utbilda och kommunicera" och "Klassning av information" är viktigt för att kunna Följa upp och förbättra.
Löpande behöver information och kunskap om informationssäkerhet kommuniceras till olika delar i verksamheten, och stöd för detta ges i "Utbilda och kommunicera". Stöd för att klassa informationstillgångar utifrån organisationens Klassningsmodell ges i "Klassning av information".